NAKIVO > Blog

Guide du règlement général sur la protection des données

Publié le: mars 5, 2024

Written by: NAKIVO Team

La confidentialité et la protection des données sont revenues sur le devant de la scène au cours de l’année écoulée, dans un contexte technologique de plus en plus complexe. Au sein de l’UE, des discussions ont eu lieu sur la nécessité d’un « RGPD 2.0 », car le cloud et l’IA posent leurs propres défis en matière de confidentialité, qu’il s’agisse des modèles de responsabilité partagée, du traitement des données biométriques ou de l’utilisation de la reconnaissance faciale.

Qu’est-ce que le RGPD ou règlement général sur la protection des données, que couvre-t-il et peut-il apporter des réponses aux défis actuels, 12 ans après sa première rédaction ? Examinons l’objectif et les conditions à remplir pour cette législation et voyons comment vous pouvez garantir sa conformité grâce à votre stratégie de protection des données.

Back Up Directly to Cloud

Back Up Directly to Cloud

Avoid a single point of failure with NAKIVO by backing up virtual, cloud and physical workloads directly to the most popular clouds and other S3-compatible platforms.

DISCOVER SOLUTION

Qu’est-ce que le RGPD ?

Le Règlement général sur la protection des données (RGPD) est une loi sur la protection des données qui régit la manière dont les organisations collectent, stockent, traitent et partagent les données personnelles des citoyens de l’UE. Le RGPD est entré en vigueur le 25 mai 2018. Il est basé sur l’article 8 de la Charte des droits fondamentaux de l’Union européenne relatif à la protection des données à caractère personnel et s’appuie sur le « consentement librement donné » comme base juridique pour le traitement des données à caractère personnel.

Ce règlement vise à harmoniser les réglementations en matière de confidentialité des données dans toute l’Union européenne et à protéger les droits à la vie privée des citoyens de l’UE, quelle que soit l’emplacement de l’organisation qui traite les données à caractère personnel.

Les principes fondamentaux du RGPD

Le règlement général sur la protection des données s’articule autour de 7 principes clés qui régissent le traitement légal des données à caractère personnel. Ces principes ne sont pas de simples lignes directrices, mais sont juridiquement contraignants et essentiels au respect du RGPD. Ils exigent des organisations qu’elles prennent en compte la confidentialité à chaque étape du traitement des données, depuis la collecte initiale jusqu’à leur suppression ou destruction finale.

  1. Licéité, loyauté et transparence. Le traitement des données à caractère personnel doit avoir une base juridique, ne doit pas être trompeur ou préjudiciable pour les personnes concernées, et doit être clair et transparent pour les personnes concernées quant à la manière dont leurs données sont utilisées et traitées.
  2. Limitation de la finalité. Les données doivent être collectées pour des raisons spécifiques, claires, explicites et légales, et leur utilisation ne peut être incompatible avec la finalité initiale.
  3. Minimisation des données. Les données collectées et traitées doivent être limitées à ce qui est essentiel pour la finalité prévue.
  4. Exactitude. Les données à caractère personnel doivent être exactes et, si nécessaire, mises à jour. Les données inexactes doivent être corrigées ou supprimées sans retard.
  5. Limitation du stockage. Les données à caractère personnel ne doivent être conservées que dans un format permettant d’identifier les personnes concernées pendant la durée nécessaire à la réalisation de la finalité prévue.
  6. Intégrité et confidentialité (sécurité). Le traitement des données à caractère personnel doit intégrer des mesures de sécurité appropriées afin de les protéger contre tout traitement non autorisé ou illicite et contre tout dommage.
  7. Responsabilité. Les organisations doivent être en mesure d’appliquer les politiques et procédures nécessaires pour se conformer au RGPD et démontrer qu’elles l’ont fait efficacement lorsqu’on leur demande de le faire.

Définitions et terminologie du RGPD

Vous trouverez ci-dessous un petit glossaire contenant les termes clés et les définitions du RGPD :

Données à caractère personnel désigne toute information relative à une personne physique, c’est-à-dire la personne concernée, qui peut être identifiée directement ou indirectement, par exemple par son nom, un numéro d’identification, son emplacement ou tout autre identifiant lié à son identité physique, physiologique, génétique, psychique, économique, culturelle ou sociale.

Consentement toute manifestation de volonté « libre, spécifique, éclairée et univoque » par laquelle la personne concernée exprime son accord pour que ses données à caractère personnel soient traitées aux fins indiquées.

Le responsable du traitement est une personne physique ou morale chargée de veiller au respect des principes du RGPD et qui détermine les finalités et les moyens du traitement des données à caractère personnel. C’est cette personne qui doit être contactée par les personnes concernées qui souhaitent exercer leurs droits. Toutefois, le traitement effectif des données peut être délégué à une autre personne physique ou morale, c’est-à-dire le sous-traitant.

Le sous-traitant est une personne physique ou morale qui traite les données à caractère personnel pour le compte du responsable du traitement. Cette partie est soumise aux instructions du responsable du traitement des données.

La personne concernée est une personne physique qui consent au traitement de ses données à caractère personnel par un responsable du traitement des données ou sous-traitant.

Le traitement désigne toute opération effectuée sur des données à caractère personnel, telle que la collecte, l’enregistrement, la structuration, le stockage, la modification, la divulgation, la diffusion, l’effacement et la destruction, entre autres options couvertes par le RGPD.

Droit d’accès est le droit d’une personne concernée d’obtenir des informations du responsable du traitement sur ses données à caractère personnel, la manière dont elles sont traitées, la finalité du traitement, etc. sans frais dans un délai de 1 mois à compter de la réception de cette demande.

Conditions à remplir et défis en matière de conformité au RGPD

Le RGPD a jeté les bases de normes solides en matière de protection des données. Cependant, la nature dynamique de la technologie introduit des complexités et met de plus en plus à l’épreuve les principes fondamentaux qui sous-tendent la réglementation européenne en matière de confidentialité.

Qui doit se conformer au RGPD ?

Au sein de l’UE. Toute organisation qui traite les données personnelles de personnes physiques dans l’UE est soumise au RGPD. Cela inclut les entreprises publiques et privées, les gouvernements, les organisations caritatives et autres organisations à but non lucratif.

En dehors de l’UE. Le RGPD s’étend au-delà des frontières de l’UE à toute organisation qui fournit des biens ou des services aux citoyens de l’UE ou observe leur comportement au sein de l’UE. Cela signifie qu’une entreprise basée n’importe où dans le monde doit se conformer au RGPD si elle traite les données de résidents de l’UE.

Les entreprises mondiales du secteur de l’internet et des technologies, y compris les plateformes de réseaux sociaux, qui ont des utilisateurs dans l’UE sont tenues de se conformer au RGPD.

Fournisseurs de technologies et responsabilité partagée

Avec la prolifération des plateformes Saas, IaaS, Paas et autres qui fournissent des ressources et des services informatiques sur Internet, le rôle des fournisseurs de technologies et des sous-traitants qui traitent des données à caractère personnel entre en jeu dans la conformité au RGPD. Si une organisation utilise des services/plateformes tiers pour traiter ou stocker des données à caractère personnel, les fournisseurs doivent également se conformer au RGPD.

Il convient de noter que la plupart de ces services reposent sur un modèle de responsabilité partagée selon lequel :

  • Les organisations sont responsables de leurs données en tant que propriétaires de celles-ci et, selon le type de service, peuvent être responsables des applications et/ou des systèmes d’exploitation
  • Les fournisseurs sont responsables des serveurs, du stockage, des réseaux, des emplacements physiques, etc.

En vertu du RGPD, les organisations sont responsables d’obtenir le consentement et de veiller à ce que les données soient utilisées aux fins prévues. Elles doivent également s’assurer que les fournisseurs auxquels elles confient le traitement des données à caractère personnel le font dans le respect de la réglementation.

Certaines des difficultés posées par le cloud computing pour les données privées concernent :

  • les fuites potentielles d’informations sensibles
  • le contrôle des flux de données entre les juridictions
  • la garantie que les fournisseurs tiers appliquent les mêmes engagements en matière de confidentialité que ceux pris envers les personnes concernées
  • mettre en œuvre efficacement les politiques de conservation
  • traiter les violations de données privées
  • gestion des risques en général

RGPD et IA

The EU’s Artificial Intelligence Act, the world’s first law regulating AI, is set to come into effect in 2025 to address some of the new challenges for the privacy rights of EU citizens. However, it’s important to understand today some of the challenges faced by organizations relying on AI to process personal data:

  • Minimisation des données et limitation des finalités. L’IA pose un défi aux responsables du traitement des données qui limitent la collecte de données à ce qui est strictement nécessaire et à des fins spécifiques.
  • Transferts transfrontaliers de données. L’IA et les technologies basées sur les données fonctionnent souvent au-delà des frontières. Cela peut nécessiter la mise en place de contrôles plus stricts afin de garantir la conformité au RGPD.
  • Prise de décision automatisée et profilage. L’IA introduit le risque de décisions prises sans intervention humaine sur la base du traitement de données à caractère personnel, ce qui inclut le profilage. Cette utilisation des données à caractère personnel est très restrictive en vertu du RGPD.

Principales conditions à remplir pour la conformité au RGPD

Pour les organisations qui doivent se conformer au RGPD, voici les conditions à remplir :

  • Mesures de protection des données. Les organisations doivent mettre en œuvre des solutions et des mesures robustes de protection des données, notamment le chiffrement des données, le stockage sécurisé des données et des audits de sécurité réguliers. Cela implique également de prendre en compte les implications du RGPD lors de l’adoption de nouvelles technologies telles que l’IA, le cloud computing et l’analyse des mégadonnées.
  • Gestion du consentement. Les organisations doivent mettre en place une politique claire afin d’obtenir un consentement clair, éclairé et libre avant de traiter des données à caractère personnel. Cela implique également la mise en place de mécanismes clairs pour la gestion du cycle de vie des données à caractère personnel.
  • Registres de traitement des données. Il est obligatoire de conserver des registres détaillés des activités de traitement des données, indiquant quelles données sont collectées, à quelles fins, et comment elles sont traitées et protégées.
  • Délégué à la protection des données. Certains types d’organisations peuvent être amenés à nommer un délégué à la protection des données chargé de veiller au respect du RGPD, en particulier si elles traitent des données sensibles à grande échelle.

Comment satisfaire aux conditions à remplir pour le RGPD

Satisfaire aux conditions à remplir pour le RGPD n’est pas une tâche ponctuelle, mais un processus continu d’évaluation et de surveillance. Les organisations doivent mettre en œuvre un ensemble complet de mesures qui englobent le traitement des données à caractère personnel, la protection des données et la récupération des données, ainsi que la sécurité :

  • Comprendre et cartographier les données. Réalisez un audit approfondi pour comprendre quelles données à caractère personnel sont collectées, pourquoi elles sont collectées, comment elles sont traitées, où elles sont stockées et comment elles sont partagées. Créer une carte des flux de données pour suivre le parcours des données personnelles au sein de l’organisation. Cela permet d’identifier les zones à risque.
  • S’assurer que le traitement repose sur une base légale. Déterminer la base légale du traitement des données personnelles, telle que le consentement, le contrat, l’obligation légale, les intérêts vitaux, la mission d’intérêt public ou les intérêts légitimes. Si vous vous appuyez sur le consentement, assurez-vous qu’il soit « libre, spécifique, éclairé et univoque ». Les mécanismes de consentement doivent être faciles à comprendre et inclure la possibilité de retirer facilement son consentement.
  • Mettre en œuvre des stratégies de protection des données. Élaborer ou mettre à jour des politiques et procédures internes de protection des données afin de garantir la conformité au RGPD. Intégrer la protection des données par défaut et dès la conception dans tous les processus, systèmes et services commerciaux qui impliquent des données à caractère personnel.
  • Minimiser le traitement des données. Veiller à ce que seules les données nécessaires à chaque finalité spécifique soient traitées et à ce que l’accès aux données à caractère personnel soit limité aux personnes qui en ont besoin.
  • Conservation des données. Le RGPD exige des organisations qu’elles évaluent et gèrent de manière critique la durée de conservation des données à caractère personnel, en veillant à ce que celles-ci ne soient pas conservées plus longtemps que nécessaire. Cela nécessite une approche proactive de la gestion des données, avec des politiques claires, des révisions régulières et des processus efficaces de suppression ou d’anonymisation des données, tout en conciliant la conformité au RGPD avec d’autres conditions à remplir.
  • Faciliter l’exercice des droits des personnes concernées. Mettre en place des procédures pour répondre aux droits des personnes concernées, notamment les demandes d’accès aux données, de rectification, d’effacement, de portabilité des données et d’opposition au traitement.
  • Planifier les mesures de réponse et de signalement en cas de violation des données. Créer et mettre en œuvre un plan de réponse aux incidents robuste comprenant un plan de réponse aux violations de données. Soyez prêt à informer l’autorité de contrôle compétente dans les 72 heures suivant la découverte d’une violation de données et, dans certains cas, à informer les personnes concernées.
  • Vérifiez la conformité de la gestion des fournisseurs et des sous-traitants. Assurez-vous que tous les fournisseurs tiers ou sous-traitants qui traitent les données à caractère personnel de votre organisation sont également conformes au RGPD.
  • Effectuez une évaluation continue. Réaliser régulièrement des audits des activités en matière de traitement des données et revoir les politiques afin de garantir le respect continu du RGPD.
  • Prêter attention aux transferts internationaux. En cas de transfert de données en dehors de l’EEE, veiller à ce que des mesures de protection adéquates soient en place, notamment des clauses contractuelles types (SCC), ou à ce que la décision d’adéquation de la Commission européenne soit respectée.
  • Conserver les registres et la documentation. Tenir des registres complets des activités de traitement des données, y compris la finalité du traitement, les catégories de données et les destinataires des données.

RGPD et protection des données

En matière de sauvegardes et de reprise après sinistre, les organisations doivent mettre en œuvre des processus de sauvegarde sécurisés afin de protéger les données à caractère personnel et de garantir la conformité au RGPD. Cela inclut le déploiement de solutions de protection des données et de reprise après sinistre qui comprennent les fonctionnalités suivantes :

  • Chiffrement des données de sauvegarde dans le référentiel de stockage (au repos) et lors de leur transfert (en transit). Choisissez des solutions qui vous permettent de mettre en œuvre des normes de chiffrement robustes afin de rendre les données de sauvegarde illisibles pour les personnes non autorisées, même en cas de violation de la sécurité.
  • Contrôles d’accès et authentification. Configurez le Contrôle d’accès basé sur les rôles (RBAC) pour limiter l’accès aux données personnelles et l’authentification multifactorielle (MFA) pour renforcer la sécurité avant d’accorder l’accès.
  • Minimisation des données et limitation du stockage. L’un des principes fondamentaux du règlement général sur la protection des données est la limitation du stockage, qui a un impact direct sur les politiques de conservation des sauvegardes. Assurez-vous que les solutions de sauvegarde offrent suffisamment de flexibilité pour créer différents calendriers et politiques de conservation pour différents niveaux de données.
  • Emplacement des données de sauvegarde dans le stockage dans le cloud. Savoir où sont stockées les données de sauvegarde et choisir les régions en fonction du type de données personnelles traitées.
  • Vérifications régulières de l’intégrité des données de sauvegarde. Effectuer des sauvegardes régulières pour garantir l’intégrité des données personnelles et mettre en œuvre des mesures pour tester les récupérations.
  • Gestion/conformité des fournisseurs et des tiers. S’assurer que le stockage tiers et les autres plateformes intégrées à votre solution de sauvegarde offrent la gamme de fonctionnalités adéquates pour vous permettre de contrôler comment et où les données sont stockées.

Protection des données avec NAKIVO

NAKIVO Backup & Replication & Replication est une solution de protection des données offrant la combinaison idéale de fonctionnalités de sauvegarde, de reprise après sinistre et de sécurité à mettre en œuvre par les organisations traitant des données personnelles. Vous pouvez protéger les applications et les systèmes dans des environnements virtuels, physiques, cloud et Saas, et maintenir la conformité aux conditions à remplir pour le RGPD grâce à des fonctionnalités telles que le chiffrement au repos et en transit, la planification et l’automatisation des sauvegardes, des paramètres de conservation flexibles, la vérification des sauvegardes, etc.

1 Year of Free Data Protection: NAKIVO Backup & Replication

1 Year of Free Data Protection: NAKIVO Backup & Replication

Deploy in 2 minutes and protect virtual, cloud, physical and SaaS data. Backup, replication, instant recovery options.

Get the Free Edition

Les gens qui ont consulté cet article ont également lu

Picture
Comment effectuer le chiffrement des adresses e-mail dans Outlook et Office 365
Picture
Guide d’installation Proxmox
Picture
Sauvegarde sur bande magnétique ou sauvegarde sur disque pour les VMs